Whistleblowing-System: Die Definition
Die allgemeine Definition lautet: „Der Ausdruck Hinweisgebersystem (Whistleblowing-System) bezeichnet ein System zum Gewinnen von Informationen, das Ermittler in Unternehmen und Verwaltungen einsetzen, um ihren Mitarbeitern und auch Personen des Umfeldes einen vertraulichen Kommunikationskanal zu eröffnen. Dieser kann von ihnen – das betrifft auch Whistleblower – zum Melden möglicher Straftaten und Ethikverstöße genutzt werden.“ (vgl. Schemmel/Ruhmanseder/Witzigmann: Hinweisgebersysteme, C.F. Müller, Heidelberg 2012)
Dabei können Whistleblowing-Systeme unterschiedliche Meldekanäle enthalten, darunter Telefonhotlines, Ombudsleute, digitale Whistleblowing-Systeme oder kombinierte Systeme zur sicheren Kommunikation von Missständen.
Briefkasten
Auf den ersten Blick sind alle oben angeführten Systeme in der Lage, eine vertrauliche Meldungsabgabe zu gewährleisten. Bei einem genaueren Hinsehen werden jedoch Unterschiede deutlich: So kann ein Brief zwar flexibel von fast jedem Ort der Welt versendet werden, erreicht aber nicht immer die zuständige Person. Werden die internen Hinweise dabei anonym verfasst, bleibt zudem die Möglichkeit einer Kommunikation versperrt, um Rückfragen zur Klärung des beschriebenen Vorfalls zu stellen.
Whistleblowing Hotline: Sprachbasierte Whistleblowing-Systeme
Einen weiteren Kommunikationskanal stellt eine sprachbasierte Lösung dar, entweder eine von Menschen betreute Anwendung oder ein Anrufbeantwortersystem. Um jedoch eine Erreichbarkeit rund um die Uhr bereitstellen zu können, mitunter auch in mehreren Sprachen, ist ein hoher personeller Aufwand erforderlich, der mit entsprechenden Kosten einhergeht. Bei Anrufbeantwortersystemen können wiederum keine Rückfragen gestellt werden. Zudem erfolgt die Reaktion auf eine Meldung stets mit einer zeitlichen Verzögerung. Isolierte Lösungen genießen darüber hinaus wenig Vertrauen in Hinblick auf die Wahrung der Anonymität der Identität des Meldenden. Allerdings macht eine sprachbasierte Lösung als zusätzlicher Kanal wiederum Sinn, wenn ein Hinweisgeber bzw. eine Hinweisgeberin nicht auf das Internet zugreifen kann oder möchte.
Die Bezeichnung “Whistleblowing Hotline” wird mitunter von Unternehmen – vor allem im englischen Sprachraum – auch als Synonym für digitale Whistleblowing-Systeme verwendet. Hintergrund ist der 2002 in Kraft getretene US-amerikanische Sarbanes-Oxley-Act, der alle US-Firmen dazu verpflichtete, interne Meldewege einzurichten. Mittlerweile handelt es sich allerdings kaum noch um rein telefonische Hotlines.
Ombudspersonen
Eine weitere vertrauenswürdige Möglichkeit, Hinweise abzugeben, ist eine Anlaufstelle mit einer unternehmensinternen oder externen Ombudsperson, die meist als Anwalt bzw. Anwältin tätig ist. Im Gespräch lassen sich so nicht nur Meldungsschwerpunkte selektieren, sondern auch die Plausibilität und Glaubwürdigkeit der internen Hinweise prüfen. Leider bietet ein Meldesystem mit Ombudspersonen naturgemäß eine eingeschränkte zeitliche und örtliche Erreichbarkeit sowie eine für gewöhnlich limitierte Sprachabdeckung. Aus diesem Grund werden Ombudspersonen meist im regionalen Kontext oder in Kombination mit anderen Meldekanälen eingesetzt.
Wie funktioniert ein digitales Whistleblowing-System?
Bei einem digitalen Whistleblowing-System handelt es sich um eine Software, über die Hinweisgeber eine Meldung abgeben können – etwa auf einer Internetseite. Das Meldesystem lässt sich somit gut in eine bestehende Compliance Management Plattform integrieren, ist zu jeder Uhrzeit und von jedem Ort aus erreichbar und liefert eine zentrale Anlaufstelle für Hinweisgeber. Whistleblower füllen beim Melden eine sogenannte Fallmaske aus, über die wichtige Informationen abgefragt werden. Dabei steht es dem Hinweisgeber frei, ob er seine persönlichen Daten hinterlässt, oder ob er anonym meldet. In diesem Fall legt das Meldesystem ein Postfach an, über das der Fallbearbeiter mit dem Hinweisgeber weiter kommunizieren kann, ohne die Identität offenzulegen. Geht ein Hinweis beim Compliance Manager ein, prüft er den Fall und leitet weitere Schritte ein.
Wie Unternehmen von Whistleblowing-Systemen profitieren
Unternehmen und Organisationen stehen aktuell vor neuen Compliance-Herausforderungen: Die EU-Whistleblowing-Richtlinie, die auch Schweizer Unternehmen betreffen kann, steht kurz vor der Umsetzung. Ab 17. Dezember 2021 müssen EU-Unternehmen mit mehr als 250 Mitarbeitern ein Whistleblowing-System installieren. Zwei Jahre später trifft diese Pflicht auch kleinere Unternehmen mit 50-250 Mitarbeitern. Auch auf Behörden, Ämter und öffentliche Einrichtungen sowie Städte und Gemeinden mit mehr als 10.000 Einwohnern findet die Richtlinie Anwendung. Die Investition in ein internes Meldesystem bedeutet jedoch nicht nur eine lästige Pflicht, sie zahlt sich für jede Organisation auf vielen Ebenen aus.
Die Organisation
- erfüllt die gesetzlichen Vorgaben,
- schützt sich selbst und ihre Mitarbeiter vor Geld- oder Haftstrafen,
- verbessert ihre Attraktivität gegenüber Geschäftskunden, Partnern, Investoren, Banken und Mitarbeitern,
- erhöht die eigene Professionalität,
- fördert eine moderne Speak-Up-Kultur
- schützt ihr Ansehen vor Skandalen,
- erkennt Risiken früher
- und kann so früh und proaktiv gegen Verstöße vorgehen.
Warum Unternehmen auf ein digitales Whistleblowing-System setzen sollten
Bei der Einrichtung eines Whistleblowing-Systems kommen grundsätzlich mehrere Kanäle oder auch eine Kombination in Frage: Telefon-Hotline, E-Mail, Briefkasten, Ombudsmann oder eine digitale Lösung. Die Unterschiede liegen vor allem in der Erreichbarkeit und den Möglichkeiten einer vertraulichen Kommunikation. Ein digitales System liefert nämlich zahlreiche Vorteile gegenüber allen anderen Kanälen.
Die digitale Lösung ist
- weltweit und jederzeit erreichbar
- lässt anonymes Melden zu
- ermöglicht die vertrauliche Fallbearbeitung
- stellt die Verschlüsselung der Daten sicher
- gewährleistet effiziente Verwaltung und Dokumentation
- und erlaubt eine einfache Auswertung der Meldungen für Statistiken.
Zehn Kriterien für ein erfolgreiches Whistleblowing-System
1. Datenschutz und Datensicherheit
Gibt ein Hinweisgebender eine vertrauliche Meldung ab, werden dabei personenbezogene Daten verarbeitet. Aus diesem Grund müssen webbasierte Systeme höchste Anforderungen an den Schutz und die Sicherheit dieser Daten aufweisen – von der Erfassung des Hinweises bis hin zur Löschung.
2. Datenspeicherung und Zugriff
Eine Datenspeicherung auf geschützten Servern in Deutschland bzw. der EU ist in jedem Fall ratsam, nicht zuletzt aufgrund des für unwirksam erklärten Privacy Shield Abkommens zwischen der EU und den USA. Zudem sollten Dritte, auch der Anbieter des Hinweisgebersystems, zu keinem Zeitpunkt Zugriff auf die Daten haben.
3. Verschlüsselung und Dialogmöglichkeit
Die Möglichkeit, bei Bedarf anonym melden zu können, senkt die Hemmschwelle auf Seiten des Whistleblowers und erhöht die Akzeptanz und den Erfolg eines Meldesystems. Gleichzeitig ist ein Dialog zwischen Hinweisgebenden und dem Bearbeitenden seitens des Unternehmens wichtig für die effiziente Klärung eine Falls. Mit speziellen Verschlüsselungstechnologien und einer Postkastenfunktion kann der vertrauliche Austausch realisiert und gleichzeitig die Identität des Whistleblowers geschützt werden.
4. Sprachabdeckung
Abhängig von seiner Ausgestaltung ist ein webbasiertes Meldesystem in der Lage, Hinweise in einer Vielzahl von Sprachen entgegenzunehmen. Insbesondere für international tätige Unternehmen ist dies ein wichtiges Kriterium, um Hinweisgeber die Abgabe des Hinweises in der eigenen Muttersprache zu ermöglichen und somit die Hemmschwelle so niedrig wie möglich zu halten. Mit Hilfe einer Übersetzungsfunktion können die eingegangenen Meldungen in die Sprache des jeweiligen Meldungsbearbeitenden übertragen werden.
5. Unabhängige Sicherheitskontrollen
Regelmäßige Sicherheits- und Penetrationstests unabhängiger IT-Experten sind ein wichtiges Qualitätsmerkmal einer Whistleblower Software. DSGVO-konforme Datenschutzzertifizierungen dienen ebenfalls als Indiz für die Sicherheit einer solchen Anwendung.
6. Länderspezifischer Datenschutz
Beim internationalen Einsatz eines internen Meldekanals müssen die landeseigenen Datenschutzanforderungen und Rechtsvorschriften berücksichtigt werden. So sind anonyme Meldungen zu bestimmten Themen in einigen Ländern nicht zulässig. Mit einer webbasierten Lösung können solche spezifischen Anforderungen daher gut abgebildet werden.
7. Fallbearbeitung und Dokumentation
Mit einer an das Hinweisgebersystem gekoppelten Fallbearbeitung können Ergebnisse und Maßnahmen des Bearbeitungsprozesses aus unterschiedlichen Quellen festgehalten und ausgewertet werden. Reports und Statistiken dienen gleichzeitig der rechts- und revisionssicheren Dokumentation der Fälle und vermitteln der Compliance-Abteilung und Unternehmensleitung relevante Informationen.
8. Kombination von Meldewegen
Moderne webbasierte Hinweisgebersysteme sind modular aufgebaut und ermöglichen die Hinweiserfassung und -bearbeitung aus unterschiedlichen Quellen. Auf diese Weise können sie im Rahmen des Compliance-Managements eines Unternehmens etwa in Kombination mit einer sprachbasierten Lösung und/oder einer Ombudsperson eingesetzt werden.
9. Eingrenzung der Themen
Für den Schutz vor wahllosem Melden und einer missbräuchlichen Nutzung sollten unternehmensindividuelle Themenschwerpunkte definiert werden.
10. Erreichbarkeit 24/7
Ein großer Vorteil digitaler Meldesysteme ist die permanente Erreichbarkeit, um Regelverstöße melden zu können – national oder weltweit.
Whistleblowing-System: Die häufigsten Fragen (FAQ)
Laut Whistleblowing Report 2021 haben mehr als die Hälfte der befragten Unternehmen Hinweise erhalten. Bei Großunternehmen (mehr als 250 Mitarbeiter) gingen im Schnitt 65 Meldungen pro Jahr ein. Bei kleineren Unternehmen (20 bis 49 Mitarbeiter) handelte es sich um 16 Meldungen. Knapp jede zweite Meldung, die bei den untersuchten Unternehmen eingegangen ist, hat sich als relevant und gehaltvoll erwiesen.
Unbedingt. Der Whistleblowing Report 2021 zeigt, dass bei den Unternehmen, die anonymes Melden ermöglichen, mehr als die Hälfte der Erstmeldungen auch in anonymisierter Form eingehen. Viele Hinweisgeber sind stark verunsichert und fürchten Repressalien, Mobbing oder Jobverlust.
Je nach Funktionsumfang dauert die Implementierung eines Whistleblowing-Systems von wenige Tagen bis etwa vier bis sechs Wochen.
Maximale Anonymität, Sicherheit und DSGVO-Konformität leisten nur digitale Whistleblowing-Systeme. Sie anonymisieren alle personenbezogenen Daten falls nötig und erfüllen im besten Fall auch die Sicherheitskriterien einer ISO-Zertifizierung.
Leitfaden zur Einführung von Hinweisgebersystemen
Wie Sie erfolgreich ein Hinweisgebersystem in Ihrer Organisation einführen.
